Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
GDPR e DATA GOVERNANCE
Enrico Pozza Roma 27/03/2018
3
Oggi
L'AZIENDA:
«INGANNATI»
Al momento
Facebook replica
così: «Siamo
indignati, siamo
stati ingannati.
Stiamo rafforzando
le nostre policy per
proteggere le
informazioni
personali».
In difesa dei big data
Il problema non sono i Big Data, le tracce di noi che lasciamo in
Rete, ma come sono usati e da chi. I grandi dati, infatti, ci fanno
trovare l'acqua preferita al supermercato, un'auto o un taxi per
andare da dove vogliamo a dove vogliamo, verificando prima,
grazie a informazioni raccolte a nostra insaputa, se c'è traffico sul
percorso. I Big Data sanno trasformarsi in Small Data, piccoli dati
di grande utilità, e ci fanno sapere se il nostro volo è in orario..
Consapevolezza
GDPR e Data Governance 6
Gli obiettivi di oggi sono gli stessi, ma le sfide sono diverse
GDPR e Data Governance 7
Dati/Informazioni
La crescita tecnologica degli ultimi anni ha espanso il concetto del «DATO»
fino ad includere qualsiasi contenuto informativo (es metadati)
La raccolta di una tale quantità di dati, poterli correlare analizzandoli tra
loro permettendo la creazioni di ulteriori informazioni fanno si che:
« it is important to analyse the value of data from different perspectives,
that of an individual, corporations and government” *
*The Value of data 22/9/2017 WEF
GDPR e Data Governance 8
Domandati
• 1. Sai dove sono archiviati i dati personali e sensibili e chi può accedervi?
• 2. Esegui una profilazione o un processo decisionale automatizzato sulle
persone?
• 3. Hai il diritto di trattenere ed elaborare i dati di una persona e puoi
dimostrarlo?
• 4. Qualcuno dei tuoi dati è condiviso al di fuori dell'UE?
• 5. È possibile fornire prove verificabili dell'uso e dell'elaborazione?
• 6. …………………
GDPR e Data Governance 9
Data Governance
Data Governance is a system of decision rights and
accountabilities for information-related processes, executed
according to agreed-upon models which describe who can
take what actions with what information, and when, under
what circumstances, using what methods.
DGI Data Governace Framework
10
GDPR e Data Governance 11
Data Economy
• Nel 2020 la DATA ECONOMY europea varrà il 4% del
PIL europeo pari a 740 Miliardi
Il sole 24 ore
GDPR e Data Governance 12
Data Economy
Il sole 24 ore
GDPR e Data Governance 13
• « L’Italia ha bisogno di aziende innovative che utilizzino i
big data che si celano dietro ogni cosa, dall’accensione
di una lampadina al traffico sulle strade, all’acquisto fatto
in un negozio. Questo è l’unico modo per poter crescere
in modo responsabile e garantire un futuro a tutti ».
Il Sole 24 ore : Francesco Medda CEO di Scloby
GDPR e Data Governance 14
Competitività
• Per rimanere competitive le aziende devono gestire
e sfruttare i dati
– per creare es.
• marketing diretto personalizzato
• sviluppo di nuovi prodotti e servizi
• migliorare la relazione con il cliente
• …..
GDPR e Data Governance 15
Sviluppi futuri
– Integrazione dei sistemi ( applicazioni, database) per poter
avere accesso completo e tempestivo ai dati
– Garantire la correttezza dei processi automatizzati, la loro
trasparenza e coerenza.
– Implementare politiche di governance a livello aziendale
– Aumentare accessibilità ai dati per rispondere più velocemente
al mercato
– Assicurare la sicurezza e la protezione dei dati
GDPR e Data Governance 16 Il sole 24 ore
GDPR e Data Governance 17
Data Protection
• Data protection is the process of safeguarding
important information from corruption, compromise or
loss.
• The importance of data protection increases as the
amount of data created and stored continues to grow at
unprecedented rates.
• There is also little tolerance for downtime that can make
it impossible to access important information.
Part of our Essential Guide: Develop copy
management systems for streamlined production
GDPR e Data Governance 18
Diritto alla privacy
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA, visto il
trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, vista la
proposta della Commissione europea, previa trasmissione del progetto di atto
legislativo ai parlamenti nazionali, visto il parere del Comitato economico e sociale
europeo ( 1 ), visto il parere del Comitato delle regioni ( 2 ), deliberando secondo la
procedura legislativa ordinaria ( 3 ), considerando quanto segue:
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di
carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della
Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16,
paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE»)
stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere
personale che la riguardano.
GDPR e Data Governance 19
Protection of Personal Data
• Tutti hanno il diritto:
– alla protezione dei dati personali che li riguardano
– all’accesso ai dati che sono stati raccolti che li riguardano, e il
diritto di farli rettificare
– Questo diritto è sancito dall'articolo 8 della Carta dei diritti
fondamentali.
GDPR e Data Governance 20
Data Protection
“Diritto Fondamentale dell’Uomo”:
Nuovo Requisito della Data Governance
GDPR e Data Governance 21
Per curiosità
Nel Regolamento EU 2016/679 (GDPR)
– 226 search results for: "Data"
– 239 search results for: "Protection of personal data“
– 65 search results for: “Data Protection"
– 179 search results for: “Personal Data“
– 0 search results for: "Data Governace“
– 0 search results for: "Data Management“
GDPR e Data Governance 22
• Il termine «DATA GOVERNANCE" non è scritto in nessun articolo
del regolamento europeo 679/2016.
• I requisiti precisi che fanno capo al «governo dei dati» sono
comunque indicati per tutte le organizzazioni che trattano dati
• Nel GDPR vengono rafforzati i diritti per le persone a fronte di:
• Raccolta
• Archiviazione
• Elaborazione
• Uso improprio
dei propri dati personali
GDPR e Data Governance 23
Principi Generali del Trattamento
Liceità
Correttezza
Trasparenza
Finalità
Conservazione
Minimizzazione
Esattezza
Integrità
Riservatezza
Principi
Generali
del
Trattamento
GDPR e Data Governance 24
Obblighi e Responsabilità
– Misure opportune di sicurezza adeguate
– Misure tecnico e organizzative
– Adeguate politiche di protezione dei dati
– Protezione dei dati dalla progettazione
– Registro delle categorie di attività di trattamento
– …..
GDPR e Data Governance 25
Alcuni articoli che impattano gli aspetti di Data Governance
• Art. 5 Principi applicabili al trattamento di dati personali
• Art. 11. Modalità del trattamento e requisiti dei dati
• Art. 15 Diritto di accesso dell'interessato
• Art. 17 Diritto alla cancellazione («diritto all'oblio»)
• Art. 20 Diritto alla portabilità dei dati
• Art. 25 Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita
• Art. 32 Sicurezza del trattamento
• Art. 33 Notifica di una violazione dei dati personali all'autorità di controllo
• Art. 34 Comunicazione di una violazione dei dati personali all'interessato
• Art. 35 Valutazione d'impatto sulla protezione dei dati"
GDPR e Data Governance 26
Cambiamento come opportunità
• E’ utile perciò per chi effettua trattamento di dati prendere
spunto da modelli riconosciuti e già applicati di governo dei
dati.
• Per permettere di adeguarsi alla normativa con: – Metodi di classificazione dei dati (Data Classification)
– Analisi dei dati (Data Discovery)
– Esattezza dei dati (Data Quality)
– Gestione dei dati (Data e Workflow & Management)
GDPR e Data Governance 27
Data Privacy
GDPR e Data Governance 28
Data Governance
«…..un sistema di diritti decisionali e responsabilità per i
processi informativi, eseguiti secondo modelli concordati
che descrivono chi può intraprendere le azioni con quali
informazioni e quando, in quali circostanze, utilizzando
quali metodi….. »
GDPR e Data Governance 29
Strategie di gestione dei dati
• Oggi la maggior parte delle aziende non hanno
implementato «strategie di gestione dei dati»
• Il comparto finanziario è quello che per «compliance
normativa» è spinto di più all’implementazione del
governo dei dati
«..il sistema di registrazione e reporting dei dati è deputato a tracciare tempestivamente
tutte le operazioni aziendali e i fatti di gestione al fine di fornire informazioni complete e
aggiornate sulla attività aziendali e sull’evoluzione dei rischi”, assicurando nel continuo
integrità, completezza e correttezza dei dati conservati..»
“Sez. 5 del Titolo V del 15° aggiornamento alla Circ.263/2006 (Cap.8),
GDPR e Data Governance 30
• Il GDPR, per la gestione e il loro controllo nell’utilizzo
nei processi (Data Governance), vede necessario
considerare
• La categorizzazzazione dei dati per tipologia e
finalità
• La valutazione d’impatto
• La mappatura dei rischi
• Le regole di conservazione dei dati
• Il controllo della qualità dei dati
Una strategia di gestione della privacy che integra la sicurezza end-to-end nel design
stesso assicura che la privacy diventi l'impostazione predefinita per ogni singolo dato.
GDPR e Data Governance 31
GDPR e Data Governance 32
Privacy tramite intento progettuale
• la complessità e il costo associato della Governance
dei dati, inclusa la privacy, è inferiore per i sistemi in cui
la privacy e la sicurezza sono incorporate nella
progettazione
Adam Lorant, VP of Customer Success for PHEMI Systems
GDPR e Data Governance 33
Alcuni esempi di dati
• Dati identificativi
• Vita personale
• Vita professionale
• Informazioni economiche
• Dati di traffico
• Dati di posizione
• Dati sulla salute
• Dati biometrici
• Dati familiari
• Dati giudiziari
• Dati di videosorveglianza
• ….
GDPR e Data Governance 34
La non conformità non è una OPZIONE
multe fino a 20.000.000 di euro o il 4% del fatturato
la privacy è non è negoziabile
La Data Governance è la chiave per raggiungere la
conformità al GDPR
Focalizzarsi sul GDPR, in ottica della «DATA
GOVERNANCE» sarà un vantaggio anche per il futuro
GDPR e Data Governance 35
Le organizzazioni «TRATTANO» volumi sempre più crescenti di dati e
informazioni in modo sempre più complesso per la loro protezione per :
• Furto
• Uso improprio
• Raccolta o utilizzo accidentale
• ……
Un programma di « DATA PRIVACY Governance , basato su standard
internazionali riconosciuti di sicurezza è utile per l’identificazione dei flussi
informativi aziendali e le corrispettive minacce e definizione del rischio residuo
GDPR e Data Governance 36
Privacy o Sicurezza?
• Il bilanciamento della necessità di condividere i dati con la necessità di
proteggerlo è il problema più grande che devono affrontare le
organizzazioni basate sui dati.
• Adottando la giusta architettura della privacy dei dati, è possibile
estendere il controllo degli accessi granulare e basato sul contesto a tutte
le interfacce dati e ai metodi di accesso, assicurando che la condivisione
dei dati sia parte integrante della strategia di governance dei dati. Così ora
puoi attingere al valore del tuo bene aziendale più prezioso, le tue
informazioni, senza compromettere la fiducia di chi conta su di te per
proteggerlo.
Adam Lorant, VP of Customer Success for PHEMI Systems
GDPR e Data Governance 37
GDPR e Data Governance 38
GDPR e Data Governance 39
40
Grazie...